Las personas formamos parte de la seguridad de los sistemas. Por un lado, somos las personas las que los diseñamos, desarrollamos, desplegamos y configuramos. Por otra lado, somos las personas quienes también los utilizamos. Somos parte ineludible de la seguridad, pero no somos máquinas. Es por ello que el factor humano en la seguridad digital sea más difícil de controlar, de predecir y de lograr mitigar.

Si nos preguntamos ¿cómo es más probable que se produzca una brecha de datos en una organización? Seguramente la respuesta mas sonada será, por el ataque de un hacker. Sin embargo, todos los estudios apuntan a que un descuido o un ataque intencionado de un empleado de la propia empresa, son los responsables de las mayores pérdidas de datos de las organizaciones en la actualidad. Aunque estos son menores en número comparados con otro tipo de amenazas. Estos ataques son mucho más contundente y dañinos para la organización que los ataques maliciosos provenientes del  exterior.

Hay que dejar claro que la seguridad digital posee dos facetas. Por un lado esta el componente técnico y por el otro encontramos la parte humana. Ambas facetas de la seguridad, dependen la una de la otra para lograr que nuestros sistemas sean lo más seguros posible. Como ejemplo podemos mencionar el continuo debate que existe entre la seguridad frente a la usabilidad. En este tipo de debate, deberemos siempre llegar sin ninguna duda, a una solución de compromiso. Todos sabemos que utilizar una contraseña de 20 caracteres combinando mayúsculas, minúsculas, símbolos y números y que esta cambie todos los días será mucho mas que segura. Pero este esfuerzo, se terminará tornando en algo inmanejable por parte de los usuarios de un sistema. Debemos buscar soluciones de seguridad adaptadas según el contexto al que van orientadas y que estas sean comprensibles y utilizables por el usuario.

Temas relacionados que te pueden interesar:

• Seguridad Digital ¿Cómo se puede mejorar?
• Seguridad como proteger la identidad Social

La Ciberseguridad y el Factor Humano

En una sociedad como la actual, la ciberseguridad afecta prácticamente a todas las facetas de la vida cotidiana de personas, organizaciones y gobiernos.

La ciberseguridad nos protege no sólo de ataques intencionados. También nos protege de accidentes provocados por catástrofes naturales y de posibles descuidos de empleados sin mala intención. Muchas veces nos cuesta comprender que en el entorno digital actual, los ataques intencionados están a la orden del día. Tanto los ataques que nos convierten en víctimas por azar, seguramente por ser un objetivo sencillo debido a nuestro bajo nivel de protección. Como los que van dirigidos específicamente contra nuestra persona o nuestra organización, persiguiendo objetivos muy concreto. En la mayoría de los casos, el objetivo del ataque, no es otro que una finalidad económica.

El Factor Humano como el eslabón más débil

Se habla a menudo de que las personas llegamos a ser el eslabón más débil en el entono de la ciberseguridad. Muchas son las veces que somos nosotros mismos, los que sin darnos cuenta, facilitamos demasiada información. Son muchas las amenazas que se aprovechan de los descuidos de las personas. Estos descuidos pueden ser producto de la falta de información o de una confianza excesiva por parte de las personas. Estos descuidos generan un sin numero de oportunidades para que se vulnere nuestra seguridad. Estas oportunidades terminan logrando que los individuos instalen software malicioso o revelen información sensible.

Casi todos los ciberataques aprovechan en algún momento el factor humano. En particular, en las primeras fases del ataque con la finalidad de recoger información sobre el objetivo, robar credenciales o  instalar algún tipo de malware.

Si se nos presenta la problemática de tener al enemigo en casa, como puede ser alguna persona desconforme con la organización, la protección se vuelve aun más difícil. La perdida de información no solo es producida por descuidos, ignorancia o ganas de agradar de nuestros compañeros o empleados. También se produce por los ataques intencionados desde dentro. Ataques llevados a cabo por empleados descontentos o ambiciosos que poseen acceso a equipos e información sensible. Estos casos se pueden transformar en los más peligroso que se nos pueden presentar.

Vulnerabilidad del Factor Humano

Los ataques suelen comenzar por la recogida de información sobre un potencial objetivo. Para realizar esta recogida de datos, se pueden emplear técnicas de ingeniería social de tipo:

No presenciales:

• Contacto con empleados, normalmente realizando algún tipo de suplantación por teléfono (vishing).
• Correo electrónico (phishing).
• Mediante la mensajería instantánea.

Presenciales:

• Búsqueda en la basura (dumpster diving).
• Seguimiento de personas y vehículos.
• Vigilancia de salas y edificios.
• Generación de situaciones de crisis.
• Presión psicológica.
• Soborno.
• Chantaje.
• Mediante la extorsión.

Método más usados para explotar el Factor Humano

Una de los métodos no presénciales más utilizados es el  phishing. Este método consiste en el envío masivo de correos electrónicos desde lo que aparentemente parece un origen de total confianza. Estos correos tienen un aspecto de un escrito real. En el, se requiere al receptor que facilite determinada información. El requerimiento puede ser mediante la respuesta al correo o conectándose a una página Web que parece real, en donde se nos solicita la introducción de ciertos datos. El éxito del phishing se basa en el envío masivo y en la probabilidad. Dado que el número de víctimas potenciales es muy grande, es probable que alguno de los destinatarios caiga en la trampa y facilite esa información que el atacante tan amablemente solicita.

Además ciertos tipos de phishing buscan que la víctima abra un documento de su interés o termine pinchando un enlace que iniciará la descargará de un software malicioso. Este software malicioso aprovechará alguna vulnerabilidad del sistema para funcionar con éxito. En la actualidad el phishing es uno de los vectores de entrada más comunes de malware en los entornos de los sistemas informáticos. Se producen un número importante de este tipo de ataques todos los días.

Variantes del  phishing son:

• Spear-phishing: esta alternativa perfecciona y personaliza la comunicación. Se adapta a cada individuo, fruto de un análisis previo de la empresa, los nombres de los empleados, jefes o personal de servicio técnico o nombres de clientes. Se utiliza en definitiva, cualquier información que pueda ser potencialmente útil para hacer más creíble la comunicación que va a recibir la víctima. Los envíos no son masivos como los mencionados anteriormente, sino muy dirigidos a un grupo de posibles víctimas concretas.
• Whaling: tiene como objetivo a los directivos de las empresas, de manera que al igual que con el spear-phishing se personalizan aun más las comunicaciones que se envían en lugar de hacer envíos masivos. Este tipo de técnica suele tener una alta probabilidad de éxito ya que los directivos por lo general no suelen asistir a las sesiones de concienciación o de formación que se organizan para los empleados de una organización.

 

¿Qué casos conoces de ataques que aprovecharon el Factor Humano en el entorno de los sistemas? ¿Conoces alguna campaña de phishing, qué opinas de ella? ¿Cómo son las sesiones de concienciación en tu empresa, crees que son adecuadas para asegurar la seguridad de los sistemas, existen estas sesiones?

 

Espero tus comentarios del artículo o también puedes contactar directamente por otros temas y estaré encantado de ponerme en contacto contigo. Si te ha parecido interesante el presente contenido, sería genial que lo compartieras en tus redes sociales. Muchas gracias. 🙂 🙂